Investigadores descubren Fast16, un malware basado en LUA creado en 2005, cinco años antes que Stuxnet, diseñado para sabotear software de ingeniería de alta precisión mediante cálculos inexactos. Vinculado a The Shadow Brokers y posiblemente a la NSA, Fast16 es el primer malware en integrar un motor Lua y usaba un controlador de kernel para interceptar ejecutables. Su descubrimiento reevalúa la cronología del ciberespionaje estatal, mostrando que el sabotaje cibernético ya estaba avanzado a mediados de los 2000.

Fast16: malware anterior a Stuxnet que atacaba software de ingeniería

Investigadores de ciberseguridad han descubierto un nuevo malware basado en LUA, creado cinco años antes del tristemente célebre gusano Stuxnet, cuyo objetivo era sabotear el programa nuclear iraní destruyendo centrifugadoras de enriquecimiento de uranio.

Según un informe publicado por SentinelOne, este marco de sabotaje cibernético, hasta ahora desconocido, data de 2005 y se dirigía principalmente a software de cálculo de alta precisión para manipular los resultados. Su nombre en clave era fast16.

«Al combinar esta carga útil con mecanismos de autopropagación, los atacantes pretenden producir cálculos inexactos equivalentes en toda una instalación», afirmaron los investigadores Vitaly Kamluk y Juan Andrés Guerrero-Saade. Se estima que Fast16 es anterior a Stuxnet —la primera arma digital conocida del mundo diseñada para acciones disruptivas— en al menos cinco años. Si bien Stuxnet se atribuye generalmente a Estados Unidos e Israel y posteriormente sirvió como base arquitectónica para el rootkit Duqu, dedicado al robo de información, Fast16 parece haber surgido mucho antes.

También precede a las primeras muestras conocidas de Flame (también conocido como Flamer y Skywiper), otro malware sofisticado descubierto en mayo de 2012 que incorporaba una máquina virtual Lua para lograr sus objetivos. Este descubrimiento convierte a Fast16 en la primera variante de malware para Windows en integrar un motor Lua.

SentinelOne afirmó haber realizado el descubrimiento tras identificar un archivo llamado "svcmgmt.exe" que, a primera vista, parecía ser un envoltorio de servicio genérico en modo consola. Según VirusTotal, la muestra tiene una fecha de creación del 30 de agosto de 2005, y fue subida a esta base de datos más de una década después, el 8 de octubre de 2016.

Sin embargo, una investigación más exhaustiva reveló una máquina virtual Lua 5.0 integrada y un contenedor de código de bytes cifrado, junto con varios otros módulos que se integran directamente con el sistema de archivos, el registro, el control de servicios y las API de red de Windows NT.

La lógica central del implante reside en el código de bytes de Lua. El binario también hace referencia a un controlador del kernel ("fast16.sys") mediante una ruta PDB (un archivo creado el 19 de julio de 2005) que se encarga de interceptar y modificar el código ejecutable al leerlo del disco. Cabe destacar que el controlador no funciona en sistemas con Windows 7 o posterior.

En un hallazgo que podría revelar el origen de la herramienta, SentinelOne informó haber descubierto una referencia a la cadena "fast16" en un archivo de texto llamado "drv_list.txt", que incluía una lista de controladores diseñados para ataques de amenazas persistentes avanzadas (APT). Este archivo, de casi 250 KB, fue filtrado por un misterioso grupo de hackers hace nueve años.

En 2016 y 2017, el colectivo, que se hacía llamar The Shadow Brokers, publicó grandes cantidades de datos supuestamente robados al Equation Group, un grupo de amenazas persistentes avanzadas con presuntos vínculos con la Agencia de Seguridad Nacional (NSA) de Estados Unidos. Esto incluía herramientas y exploits de pirateo bajo el apodo de "Lost in Translation".

«La cadena de caracteres dentro de svcmgmt.exe proporcionó el vínculo forense clave en esta investigación», declaró SentinelOne. «La ruta PDB conecta la filtración de 2017 de firmas de descoordinación utilizadas por operadores de la NSA con un módulo portador multimodal basado en Lua, compilado en 2005, y, en última instancia, con su carga útil sigilosa: un controlador de kernel diseñado para el sabotaje de precisión».

"Svcmgmt.exe" ha sido descrito como un «módulo portador altamente adaptable» que puede modificar su comportamiento en función de los argumentos de línea de comandos que se le pasan, lo que le permite ejecutarse como un servicio de Windows o ejecutar código Lua. Incluye tres cargas útiles distintas: código de bytes Lua para gestionar la lógica de configuración, propagación y coordinación, una DLL auxiliar ConnotifyDLL ("svcmgmt.dll") y el controlador de kernel "fast16.sys".

En concreto, está diseñado para analizar la configuración, escalar privilegios como servicio, desplegar opcionalmente el implante del kernel y lanzar un gusano del Administrador de Control de Servicios (SCM) que busca servidores de red y propaga el malware a otros entornos Windows 2000/XP con credenciales débiles o predeterminadas.

Un aspecto importante a destacar es que la propagación solo se produce cuando se fuerza manualmente o cuando no se encuentran productos de seguridad comunes en el sistema al analizar la base de datos del Registro de Windows en busca de claves de registro asociadas. Algunas de las herramientas de seguridad que comprueba explícitamente pertenecen a Agnitum, F-Secure, Kaspersky, McAfee, Microsoft, Symantec, Sygate Technologies y Trend Micro.

La presencia de Sygate Technologies es otro indicador de que la muestra se desarrolló a mediados de la década de 2000, ya que la empresa fue adquirida por Symantec (ahora parte de Broadcom) en agosto de 2005, y la venta y el soporte de sus productos se interrumpieron formalmente en noviembre.

«Para herramientas de esta época, ese nivel de conciencia ambiental es notable», afirmó SentinelOne. «Si bien la lista de productos puede no parecer exhaustiva, probablemente refleja los productos que los operadores esperaban encontrar en sus redes objetivo, cuya tecnología de detección pondría en peligro la discreción de una operación encubierta».

Por otro lado, la DLL Connotify se invoca cada vez que el sistema establece una nueva conexión de red mediante el Servicio de Acceso Remoto (RAS) y escribe los nombres de las conexiones remotas y locales en una tubería con nombre ("\\.\pipe\p577").

Sin embargo, es el controlador el responsable del sabotaje de precisión, dirigido a ejecutables compilados con el compilador Intel C/C++ para realizar parches basados en reglas y secuestrar el flujo de ejecución mediante inyecciones de código malicioso. Uno de estos bloques es capaz de corromper cálculos matemáticos, atacando específicamente herramientas utilizadas en ingeniería civil, física y simulaciones de procesos físicos.

«Al introducir errores pequeños pero sistemáticos en los cálculos del mundo físico, el marco podría socavar o ralentizar programas de investigación científica, degradar sistemas de ingeniería con el tiempo o incluso contribuir a daños catastróficos», explicó SentinelOne. «Al separar un contenedor de ejecución relativamente estable de cargas útiles cifradas y específicas para cada tarea, los desarrolladores crearon un marco compartimentado y reutilizable que podían adaptar a diferentes entornos objetivo y objetivos operativos, manteniendo el binario portador externo prácticamente sin cambios en todas las campañas».

Tras analizar las 101 reglas definidas en el motor de parcheo y compararlas con el software utilizado a mediados de la década de 2000, se estima que tres paquetes de software de ingeniería y simulación de alta precisión podrían haber sido los objetivos: LS-DYNA 970, PKPM y la plataforma de modelado hidrodinámico MOHID.

LS-DYNA, ahora parte de la suite Ansys, es un paquete de software de simulación multifísica de propósito general que se utiliza para simular choques, impactos y explosiones. En septiembre de 2024, el Instituto para la Ciencia y la Seguridad Internacional (ISIS) publicó un informe que detallaba el probable uso por parte de Irán de software de modelado informático como LS-DYNA relacionado con el desarrollo de armas nucleares.

Esta cadena de pruebas cobra relevancia si se considera que el programa nuclear iraní sufrió daños sustanciales tras el ataque del gusano Stuxnet a su planta de enriquecimiento de uranio en Natanz en junio de 2010. Además, en febrero de 2013, Symantec reveló una versión anterior de Stuxnet que se utilizó para atacar el programa nuclear iraní en noviembre de 2007, con indicios de que su desarrollo comenzó ya en noviembre de 2005.

«Stuxnet 0.5 es la versión más antigua de Stuxnet que se ha analizado», señaló Symantec en aquel momento. «Stuxnet 0.5 contiene una estrategia de ataque alternativa: el cierre de válvulas en la planta de enriquecimiento de uranio de Natanz, Irán, lo que habría causado graves daños a las centrifugadoras y al sistema de enriquecimiento de uranio en su conjunto».

En conjunto, el último hallazgo «obliga a reevaluar» la cronología histórica del desarrollo de las operaciones clandestinas de sabotaje cibernético, según SentinelOne, que añade que las herramientas de sabotaje cibernético respaldadas por el Estado contra objetivos físicos ya estaban completamente desarrolladas e implementadas a mediados de la década de 2000.

«En el contexto más amplio de la evolución de las APT, fast16 cierra la brecha entre los primeros programas de desarrollo, en gran medida invisibles, y los conjuntos de herramientas posteriores, más ampliamente documentados, basados ​​en Lua y LuaJIT», concluyeron los investigadores. «Es un punto de referencia para comprender cómo los actores avanzados conciben los implantes a largo plazo, el sabotaje y la capacidad de un Estado para transformar el mundo físico mediante software. fast16 fue el presagio silencioso de una nueva forma de política exterior, que ha mantenido su sigilo hasta la actualidad».

Fuente: THN